防范XSS攻击的关键是根据输出上下文选择正确的转义方式:HTML正文和属性值用htmlspecialchars(),JavaScript中用json_encode(),URL参数用urlencode(),并配合CSP等HTTP安全头。
对用户输入做严格过滤和转义
XSS(跨站脚本)攻击本质是把恶意脚本混进网页输出中执行。所以关键不是“堵住所有入口”,而是确保任何用户提交的数据,在输出到HTML页面前必须处理。PHP里最常用、最直接的方式是用 htmlspecialchars() 函数:
- 输出到HTML正文时,用 htmlspecialchars($str, ENT_QUOTES, 'UTF-8') —— 它会把
<、>、"、'、&转成对应的HTML实体 - 如果数据要放进JavaScript字符串里(比如
var msg = "<?php echo $user_input; ?>";),不能只靠 htmlspecialchars,得额外用 json_encode() 并加引号包裹:var msg = <?php echo json_encode($user_input, JSON_UNESCAPED_UNICODE); ?>; - 写入HTML属性值(如
title="<?php echo $title; ?>")也必须用 htmlspecialchars,且属性值一定要用引号包围(单或双),否则容易被闭合绕过
区分上下文,用对转义方式
同一个变量在不同位置,需要的防护方式不一样。不看上下文乱用 strip_tags() 或 addslashes() 反而可能留漏洞:
-
HTML内容区(如
<div>xxx</div>)→ 用 htmlspecialchars() -
HTML属性值(如
class="xxx")→ 同样用 htmlspecialchars(),别忘了引号 - JavaScript代码内 → 优先用 json_encode(),不要拼接字符串
-
URL参数值(如
<a href="go.php?name=<?php echo $name; ?>">)→ 用 urlencode(),而不是 htmlspecialchars - 动态CSS或style属性 → 尽量避免;若必须,先白名单过滤再用 htmlspecialchars()
启用HTTP头增强防护
服务端响应头能帮浏览器多一道拦截。PHP中可在输出前设置:
- X-Content-Type-Options: nosniff:防止MIME类型混淆导致脚本误执行
- X-Frame-Options: DENY 或 SAMEORIGIN:防御点击劫持(间接降低XSS危害)
-
Content-Security-Policy(CSP):最有效的现代方案,例如:
header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' https:");
注意:开启 CSP 后,内联 JS(<script>alert(1)</script>)和onclick等事件处理器默认被禁,需显式允许或改用事件绑定
养成安全编码习惯
工具和配置只是辅助,核心还是写代码时的意识:
立即学习“PHP免费学习笔记(深入)”;
- 所有从
$_GET、$_POST、$_COOKIE、$_SERVER(尤其HTTP_USER_AGENT、HTTP_REFERER)来的数据,都默认不可信 - 数据库读出的数据,如果来源不可控(如用户曾存过),同样要转义——别以为“从库读的就安全”
- 模板引擎(如 Twig、Blade)默认开启自动转义,但手动关闭(
{{ content|raw }})时务必确认内容可信 - 用白名单校验代替黑名单过滤:比如用户名只允许字母、数字、下划线,而不是“禁止<script>”</script>
